企業(yè)安全漏洞掃描與管理系統(tǒng)解決方案

1、 企業(yè)安全漏洞掃描與管理系統(tǒng)解決方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc528175672 一. 網(wǎng)絡(luò)現(xiàn)狀以及需求分析 PAGEREF _Toc528175672 h 3 HYPERLINK l _Toc528175673 1.1 網(wǎng)絡(luò)現(xiàn)狀 PAGEREF _Toc528175673 h 3 HYPERLINK l _Toc528175674 1.2 網(wǎng)絡(luò)安全風(fēng)險分析 PAGEREF _Toc528175674 h 3 HYPERLINK l _Toc528175675 1.3 網(wǎng)絡(luò)安全需求 PAGEREF _Toc528175675 h 3 HYPERLI

2、NK l _Toc528175676 二. 解決方案 PAGEREF _Toc528175676 h 4 HYPERLINK l _Toc528175677 2.1 系統(tǒng)選型 PAGEREF _Toc528175677 h 4 HYPERLINK l _Toc528175678 2.2 掃描系統(tǒng)部署 PAGEREF _Toc528175678 h 4 HYPERLINK l _Toc528175679 2.3 天鏡主要功能 PAGEREF _Toc528175679 h 5 HYPERLINK l _Toc528175680 2.3.1 資產(chǎn)發(fā)現(xiàn)與管理 PAGEREF _Toc52817568

3、0 h 5 HYPERLINK l _Toc528175681 2.3.2 脆弱性掃描與分析 PAGEREF _Toc528175681 h 6 HYPERLINK l _Toc528175682 2.3.3 脆弱性風(fēng)險評估 PAGEREF _Toc528175682 h 6 HYPERLINK l _Toc528175683 2.3.4 弱點修復(fù)指導(dǎo) PAGEREF _Toc528175683 h 7 HYPERLINK l _Toc528175684 2.3.5 安全策略審核 PAGEREF _Toc528175684 h 7 HYPERLINK l _Toc528175685 2.3.6

4、 構(gòu)建統(tǒng)一管理體系 PAGEREF _Toc528175685 h 8 HYPERLINK l _Toc528175686 2.4 產(chǎn)品技術(shù)特點 PAGEREF _Toc528175686 h 8 HYPERLINK l _Toc528175687 2.4.1 全面 PAGEREF _Toc528175687 h 8 HYPERLINK l _Toc528175688 2.4.2 準(zhǔn)確 PAGEREF _Toc528175688 h 10 HYPERLINK l _Toc528175689 2.4.3 快速 PAGEREF _Toc528175689 h 10 HYPERLINK l _Toc

5、528175690 2.4.4 自主 PAGEREF _Toc528175690 h 11 HYPERLINK l _Toc528175691 三. 選型建議 PAGEREF _Toc528175691 h 11網(wǎng)絡(luò)現(xiàn)狀以及需求分析網(wǎng)絡(luò)現(xiàn)狀XX 公司網(wǎng)絡(luò)結(jié)構(gòu)為三級網(wǎng)絡(luò)結(jié)構(gòu)，連接全國其它各省 XX 公司的網(wǎng)絡(luò)，下接XX省各地市縣 XX 公司的網(wǎng)絡(luò)。具體分為辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)，其中生產(chǎn)網(wǎng)絡(luò)為 XX公司最重要的網(wǎng)絡(luò)。目前在辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)中有多臺重要服務(wù)器、 終端，在各個網(wǎng)絡(luò)的邊界部署有網(wǎng)絡(luò)互聯(lián)設(shè)備如交換機和路由器等等，同時還部署了邊界保護設(shè)備防火墻以及網(wǎng)絡(luò)區(qū)域保護設(shè)備入侵檢測系統(tǒng)等安全防護設(shè)備。

6、網(wǎng)絡(luò)安全風(fēng)險分析雖然 XX 公司已經(jīng)部署了諸如防火墻、入侵檢測系統(tǒng)等安全防護工具，但網(wǎng)絡(luò)系統(tǒng)存在安全漏洞（如安全配置不嚴(yán)密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。入侵者通常都是通過一些程序來探測網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相關(guān)技術(shù)進行攻擊。網(wǎng)絡(luò)安全需求面對 XX 網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，制定符合 XXXX 網(wǎng)絡(luò)應(yīng)用的安全策略顯然是不現(xiàn)實的。解決的方案是，尋找一種能尋找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全分析評估系統(tǒng)。檢測現(xiàn)有網(wǎng)絡(luò)中的邊界設(shè)備（如路由器交換機） 、網(wǎng)絡(luò)安全設(shè)備（

7、防火墻、入侵檢測系統(tǒng)）、 服務(wù)器（包括內(nèi)部網(wǎng)絡(luò)系統(tǒng)的各種應(yīng)用服務(wù)器）、主機、數(shù)據(jù)庫等進行掃描，預(yù)先查找出存在的漏洞，從而進行及時的修補， 對網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進行安全配置。解決方案系統(tǒng)選型漏洞掃描系統(tǒng) （掃描對象包括網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫系統(tǒng)）使企業(yè)有機會在故障出現(xiàn)之前將其修復(fù)，而不是對一項已經(jīng)進行的入侵或誤用情況作出反應(yīng)。漏洞掃描可以讓用戶首先防止入侵。 漏洞掃描也許對那些沒有很好的事件響應(yīng)能力的用戶會有幫助。在 XX 網(wǎng)絡(luò)系統(tǒng)中，我們建議部署一套天鏡脆弱性掃描與管理系統(tǒng)，能同時對內(nèi)、外網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備（如路由器、交換機、防火墻等）、小型機、PC SERVER 和 PC 機操作系統(tǒng)

8、（如 Windows）和應(yīng)用程序（如 IIS）由于各種原因存在一些漏洞（包括系統(tǒng)漏洞、脆弱口令等），這些漏洞可能會給內(nèi)部和外部不懷好意的人員有可趁之機，造成不應(yīng)該有的損失。掃描系統(tǒng)部署天鏡連接網(wǎng)管交換機或者中心交換機上，進行網(wǎng)絡(luò)安全評估，比如小型機、PC SERVER、網(wǎng)絡(luò)設(shè)備（交換機、路由器等）、安全設(shè)備（如防火墻）及各工作站系統(tǒng)，進行周期性的安全掃描，得出評估分析報告，然后進行相應(yīng)的漏洞修補或重新設(shè)計安全策略，以達到網(wǎng)絡(luò)中硬件設(shè)備系統(tǒng)和應(yīng)用平臺的安全化。部署后網(wǎng)絡(luò)拓撲(根據(jù)實際情況進行部署)天鏡主要功能資產(chǎn)發(fā)現(xiàn)與管理天鏡能夠通過綜合運用多種手段（主機存活探測，智能端口檢測，操作系統(tǒng)指紋識別

9、等）全面、快速、準(zhǔn)確的發(fā)現(xiàn)被掃描網(wǎng)絡(luò)中的存活主機，準(zhǔn)確識別其屬性，包括主機名稱、設(shè)備類型、端口情況、操作系統(tǒng)以及開放的服務(wù)等，為進一步脆弱性掃描做好準(zhǔn)備。同時，天鏡的資產(chǎn)管理功能能夠為用戶管理被掃描的IT資產(chǎn)提供方便，同時作為脆弱性風(fēng)險評估的基礎(chǔ)部分，為評估主機和網(wǎng)絡(luò)的脆弱性風(fēng)險提供依據(jù)。天鏡資產(chǎn)管理的主要功能包括：資產(chǎn)導(dǎo)入導(dǎo)出資產(chǎn)數(shù)據(jù)可以方便的從歷史掃描結(jié)果中自動發(fā)現(xiàn)，也可以通過格式列表文件批量導(dǎo)入，更可以靈活的手工添加資產(chǎn)。同時，資產(chǎn)數(shù)據(jù)也可以格式列表文件導(dǎo)出，應(yīng)用于其他系統(tǒng)。部門管理資產(chǎn)條目以部門目錄樹的框架進行展現(xiàn)，方便用戶將脆弱性評估工作與具體業(yè)務(wù)規(guī)劃相關(guān)聯(lián)。對部門的操作包括新建、編

10、輯、刪除等，在部門中可以指定所屬資產(chǎn)的IP范圍和責(zé)任人，這樣，自動搜索或者添加的資產(chǎn)即可劃歸到相應(yīng)部門。資產(chǎn)屬性維護資產(chǎn)管理抽取了進行脆弱性風(fēng)險評估所需的關(guān)鍵屬性對資產(chǎn)進行描述和維護，其中包括資產(chǎn)的基本屬性（IP，名稱、編號以及分類等），資產(chǎn)價值以及保護等級。資產(chǎn)價值和保護等級跟實際的網(wǎng)絡(luò)應(yīng)用環(huán)境密切相關(guān)，可使用戶明確哪些是重要資產(chǎn)以及那些資產(chǎn)保護程度如何。脆弱性掃描與分析漸進式的掃描方法能夠讓天鏡利用已經(jīng)發(fā)現(xiàn)的資產(chǎn)信息進行針對性掃描，以發(fā)現(xiàn)主機上不同應(yīng)用對象（操作系統(tǒng)和應(yīng)用軟件）的弱點和漏洞，同時保證掃描過程的快速和結(jié)果的準(zhǔn)確。目前，天鏡可檢測的漏洞數(shù)量已經(jīng)超過9300+種，掃描對象涵蓋各種

11、常見的網(wǎng)絡(luò)主機、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web應(yīng)用等。任務(wù)管理和策略管理功能，可以使用戶的掃描操作變得更加方便和靈活。用戶可以使用默認掃描策略或者自定義掃描策略，創(chuàng)建特定或者自動計劃任務(wù)，調(diào)整掃描參數(shù)以提高掃描效率，甚至可以在同一個任務(wù)中對不同的對象采用不同的策略進行掃描，從而方便的實現(xiàn)更具針對性的脆弱性掃描。在掃描任務(wù)執(zhí)行的過程中，天鏡就可以將掃描的過程信息、階段性的掃描結(jié)果實時顯示出來，并且可以生成在線報表。在掃描任務(wù)結(jié)束后，使用天鏡的報表管理功能可以對掃描結(jié)果進行細致全面的分析，生成面向不同安全管理角色諸如主管領(lǐng)導(dǎo)、管理人員、技術(shù)人員的客戶化報表。天鏡的報表分漏洞掃描、資產(chǎn)統(tǒng)計和弱點評估3

12、大類20多種，以統(tǒng)計、比較、交叉、評估、詳述等多種方法對掃描結(jié)果進行分析，支持以XML、HTML、WORD、Excel、PDF、RTF等多種常用格式導(dǎo)出，方便用戶使用。脆弱性風(fēng)險評估天鏡能夠?qū)β┒?、主機和網(wǎng)絡(luò)的脆弱性風(fēng)險進行評估和定性。天鏡采用最新的CVSS v2標(biāo)準(zhǔn)來對所有漏洞進行統(tǒng)一評級，客觀的展現(xiàn)其危險級別。在此基礎(chǔ)上，天鏡利用漏洞的CVSS評分，綜合被掃描資產(chǎn)的保護等級和資產(chǎn)價值，采用參考國家標(biāo)準(zhǔn)制定的風(fēng)險評估算法，能夠?qū)χ鳈C、網(wǎng)絡(luò)的脆弱性風(fēng)險做出定量和定性的綜合評價，幫助用戶明確主機和網(wǎng)絡(luò)的脆弱性風(fēng)險等級，制定出合理的脆弱性風(fēng)險管理策略。漏洞信息的描述中包含CVSS評分，主機和網(wǎng)絡(luò)的

13、脆弱性風(fēng)險評估結(jié)論會在弱點評估報表中直接體現(xiàn)，并且對風(fēng)險控制措施做出建議。弱點修復(fù)指導(dǎo)通過CVSS評分，天鏡能夠直接給修復(fù)工作提供優(yōu)先級的指導(dǎo)，以確保最危險的漏洞被先修復(fù)。下表顯示了CVSS評分和修復(fù)工作優(yōu)先級的關(guān)系，并給出推薦的修復(fù)工作時限：CVSS分值優(yōu)先級別修補時間01P4可以自由決定14P33-6個月47P2最多4周710P1最多2周漏洞修復(fù)工作的優(yōu)先級別天鏡的每個漏洞都有詳細的描述，包括漏洞的說明、影響的系統(tǒng)、平臺、危險級別以及標(biāo)準(zhǔn)的CNCVE、CVE、CNNVD、BUGTRAQ等對應(yīng)關(guān)系以及鏈接信息，并提供修補方案，如系統(tǒng)加固建議、安全配置步驟、以及補丁下載鏈接等，這些信息可以幫助

14、用戶建立對漏洞的全面認識，正確完成弱點修復(fù)工作。安全策略審核用戶可以通過計劃任務(wù)的定期執(zhí)行，進行基于主機、網(wǎng)絡(luò)和弱點的趨勢對比分析，對風(fēng)險控制策略和以往修復(fù)工作進行審核，以評價風(fēng)險控制策略和脆弱性管理工作的有效性，為安全策略的調(diào)整提供決策支持。另外，漏洞驗證功能允許檢查類用戶對掃描到的漏洞進行審核，天鏡提供部分常見漏洞的自動驗證工具和手動驗證方法，可以從過程和結(jié)果兩方面保證漏洞驗證的有效性。構(gòu)建統(tǒng)一管理體系天鏡能夠幫助大規(guī)模信息系統(tǒng)用戶構(gòu)建完善的統(tǒng)一脆弱性管理體系。用戶可以在不同網(wǎng)絡(luò)域內(nèi)部署獨立的天鏡掃描單元，分別負責(zé)各自網(wǎng)絡(luò)域內(nèi)的脆弱性掃描，避免因單一掃描單元難以逾越網(wǎng)絡(luò)域間的訪問控制障礙而

15、造成的掃描缺失。與此同時，通過天鏡的管理控制中心，用戶能夠?qū)崿F(xiàn)對多個獨立掃描單元的統(tǒng)一管理和監(jiān)控，在掃描單元數(shù)量眾多的時候，也可以采取分級管理的方式來分擔(dān)管理壓力，形成統(tǒng)一的分級管理體系。借助統(tǒng)一的脆弱性管理體系，用戶能夠?qū)嵤┩晟频拇嗳跣話呙韫芾砜刂乒δ埽ǎ翰捎眉用軈f(xié)議實施安全管理以圖形界面顯示統(tǒng)一管理體系的拓撲結(jié)構(gòu)實時監(jiān)控各級管理控制中心和掃描引擎的工作狀態(tài)向下級管理控制中心下發(fā)統(tǒng)一掃描策略向本級或者下級獨立掃描單元下發(fā)產(chǎn)品授權(quán)和升級文件，控制啟動掃描任務(wù)并自動收集掃描結(jié)果，實現(xiàn)有效監(jiān)管獨立掃描單元可不借助多級管理中心完成脆弱性掃描和管理工作產(chǎn)品技術(shù)特點天鏡產(chǎn)品特點鮮明，總結(jié)起來可以從“

16、全面、準(zhǔn)確、快速、自主”四個方面進行展現(xiàn)。全面豐富的漏洞知識資源儲備天鏡以啟明星辰積極防御實驗室為依托，以國內(nèi)最權(quán)威、最全面的中文漏洞知識庫為支撐，蘊含著豐富的研究經(jīng)驗和深厚的知識積累，能夠為客戶提持續(xù)的、高品質(zhì)的產(chǎn)品應(yīng)用價值。覆蓋面最廣的漏洞庫天鏡可掃描的漏洞數(shù)量超過9300種，覆蓋了當(dāng)前網(wǎng)絡(luò)環(huán)境中重要的，流行的系統(tǒng)和數(shù)據(jù)庫漏洞，并且能夠根據(jù)網(wǎng)絡(luò)環(huán)境的變化及時調(diào)整更新，確保漏洞識別的全面性和時效性。全方位的網(wǎng)絡(luò)對象支持網(wǎng)絡(luò)主機：服務(wù)器、客戶機、網(wǎng)絡(luò)打印機等操作系統(tǒng)：Microsoft Windows 9X/NT/2000/XP/2003/2008/Vista/win7/win8、Sun So

17、laris、HP Unix、IBM AIX、IRIX、Linux、BSD等網(wǎng)絡(luò)設(shè)備：Cisco、3Com、Checkpoint、華為、Alcatel等主流廠商網(wǎng)絡(luò)設(shè)備應(yīng)用系統(tǒng)：數(shù)據(jù)庫、Web應(yīng)用、FTP、電子郵件等常用軟件：Office、Symantec、360安全衛(wèi)士等虛擬化掃描：支持對vmware等虛擬化平臺的掃描業(yè)界領(lǐng)先的數(shù)據(jù)庫掃描天鏡具備對SQL Server、Oracle、Sybase、DB2、MySQL等多種主流數(shù)據(jù)庫系統(tǒng)的掃描功能，可掃描的數(shù)據(jù)庫系統(tǒng)漏洞總數(shù)超過820條，包含了弱口令、用戶權(quán)限漏洞、訪問認證漏洞、系統(tǒng)完整性檢查、存儲過程漏洞以及與數(shù)據(jù)庫相關(guān)的應(yīng)用程序漏洞等，基本上

18、覆蓋了數(shù)據(jù)庫常被用做后門進行攻擊的漏洞，并提出相應(yīng)的修補建議。多樣化的結(jié)果報表呈現(xiàn)天鏡能夠生成面向多個用戶角色的客戶化報表，并以圖、表、文字說明等多種形式進行展現(xiàn)，同時支持以XML、HTML、WORD、Excel、PDF、RTF等多種格式導(dǎo)出結(jié)果報表。全行業(yè)的產(chǎn)品成功應(yīng)用天鏡已經(jīng)在政府、金融、電信、軍隊、教育、企業(yè)、能源等各種行業(yè)得到了成功應(yīng)用，獲得了最廣泛的用戶認可。準(zhǔn)確對象信息的準(zhǔn)確識別天鏡采用漸進式掃描分析方法，融合最新的操作系統(tǒng)指紋識別、智能端口服務(wù)識別等技術(shù)，能夠準(zhǔn)確識別被掃描對象的各種信息，如操作系統(tǒng)、網(wǎng)絡(luò)名、用戶信息、非常規(guī)端口上開放的服務(wù)等；漏洞信息的準(zhǔn)確判斷除了使用常規(guī)方法掃描外，天鏡還可以對于同一漏洞采用多種不同類型的掃描方法進行關(guān)聯(lián)校驗，以達到準(zhǔn)確判斷效果。域管理模式下的準(zhǔn)確掃描天鏡獨有的Windows域掃描技術(shù)，可以使得天鏡在Windows域管理模式下能夠借助域管